Otros problemas de seguridad en los sitios incluyeron cajas de discos duros desatendidas y un proveedor sancionado.
Fo años, TikTok ha dicho a los legisladores que los datos privados de sus usuarios de EE. UU. están protegidos, y a salvo de posibles influencias o exfiltraciones, en un grupo de centros de datos ubicados en el norte de Virginia.
Pero las entrevistas con siete empleados actuales y anteriores y más de 60 documentos, fotos y videos de los centros de datos revelan que los centros han enfrentado vulnerabilidades de seguridad que van desde unidades flash sin marcar conectadas a servidores hasta visitantes sin escolta y cajas de discos duros desatendidas en los pasillos. Las fuentes sugieren que estos desafíos son el resultado de que TikTok intenta aumentar su capacidad de almacenamiento de datos muy rápidamente y, a veces, toma atajos en el camino.
Documentos, fotos y entrevistas también sugieren que las operaciones del centro de datos de TikTok todavía están estrechamente relacionadas con el negocio de ByteDance en China. Entre otros proveedores, los centros de datos usan servidores producidos por Inspur, una empresa que el Pentágono dijo en 2020 que estaba controlada por el ejército chino y que el Departamento de Comercio agregó a una lista de sanciones el mes pasado. Los documentos también muestran que, tan recientemente como la semana pasada, Beijing ByteDance Technology Co., Ltd., una subsidiaria de ByteDance propiedad parcial del gobierno chino, envió órdenes de trabajo del servidor a los técnicos del centro de datos, que TikTok ha insistido repetidamente que no tiene control sobre sus operaciones. .
Estas revelaciones llegan en un momento crítico para TikTok, que enfrenta una investigación criminal federal por vigilar a periodistas (incluido este reportero) y una amenaza de la Administración Biden de que ByteDance debe vender TikTok o enfrentar una prohibición total de la aplicación en los EE. UU. Un bipartidista La coalición de legisladores, junto con la Casa Blanca, han expresado su preocupación de que el gobierno chino pueda usar el control de ByteDance sobre TikTok para filtrar datos valiosos sobre ciudadanos estadounidenses o influir en el discurso cívico nacional o internacional. (Divulgación: en una vida anterior, ocupé cargos políticos en Facebook y Spotify).
“Cada nueva historia plantea más preocupaciones y proporciona ejemplos adicionales de TikTok que parece tergiversar sus prácticas de seguridad de datos”, dijo el senador Mark Warner, quien encabezó un esfuerzo del Senado para prohibir TikTok en los últimos meses.
Los centros de datos usan servidores producidos por Inspur, una empresa que el Pentágono dijo en 2020 que estaba controlada por el ejército chino.
La refutación de TikTok a estas preocupaciones, y la amenaza de una posible prohibición, es una propuesta conocida como Proyecto Texas, según la cual TikTok eliminaría los datos privados de los usuarios estadounidenses de los servidores de Virginia y los aislaría en un conjunto de centros de datos con sede en Texas propiedad de Oracle. . Sin embargo, el director ejecutivo de TikTok, Shou Zi Chew, testificó ante un comité de la Cámara el mes pasado que los datos de los usuarios de EE. UU. todavía están «en nuestros servidores en Virginia» hoy.
En respuesta a una lista detallada de preguntas de Forbes, la portavoz de TikTok, Maureen Shanahan, reconoció usar los servidores de Inspur, pero dijo que TikTok «no había adquirido de ese proveedor durante bastante tiempo». Inspur también ha trabajado con otras importantes empresas estadounidenses, incluidas Microsoft, IBM e Intel. Inspur no respondió a una solicitud de comentarios, ni tampoco el Departamento de Comercio. El Departamento de Defensa no había proporcionado comentarios al cierre de esta edición.
Shanahan dijo que las órdenes de trabajo de Beijing ByteDance Technology Co. eran «un artefacto de un sistema de emisión de boletos», que «no proporciona ningún acceso a los datos del usuario» y que Beijing ByteDance Technology Co. «no tiene ninguna participación en la gestión, operación o control de nuestros centros de datos de EE. UU.”. También señaló que TikTok dejó de enrutar el tráfico de nuevos usuarios de EE. UU. a los centros de datos de Virginia en octubre de 2022, lo que significa que las publicaciones privadas, los mensajes directos y otros datos de usuarios de EE. UU. creados antes de octubre de 2022 aún se encuentran en estos servidores hoy, pero los datos creados más recientemente no. TikTok dice que planea eliminar estos datos de los servidores antes de finales de 2023.
Dijo Shanahan: «En los últimos años, hemos aumentado nuestras inversiones en personas, procesos y tecnología para ayudar a proteger a nuestra comunidad, incluido el establecimiento de un equipo dedicado a las operaciones, el mantenimiento y el cumplimiento del centro de datos».
Unidades flash no marcadas, servidores no seguros y visitantes sin escolta
Lcomo muchos gigantes tecnológicos, TikTok alquila espacio en grandes centros de datos en el norte de Virginia. Las salas de datos de TikTok dentro de estos centros son administradas en parte por ByteDance y en parte por trabajadores contratados de varias empresas de administración de centros de datos. (Dos firmas que trabajan en los centros ByteDance no respondieron a una solicitud de comentarios).
En enero de 2023, la división de seguridad de datos de EE. UU. de TikTok, la nueva entidad que, en el marco del Proyecto Texas, asegurará y proporcionará acceso a los datos de los usuarios de EE. UU. puntos, cortafuegos y tecnologías de detección de intrusos”. Pero siete empleados actuales y anteriores que hablaron con Forbes — de forma anónima por temor a represalias por parte de ByteDance o su empresa contratista — dijo que la seguridad en los sitios es variable y laxa.
Según los empleados, los sistemas de seguridad física varían según el edificio, pero la mayoría se basa en un sistema de identificación. La política de la empresa establece que los invitados, incluida una rotación regular de mensajeros, proveedores de hardware, electricistas y otros profesionales, deben estar acompañados por un empleado en todo momento. Pero en la práctica, según cuatro empleados, eso no siempre sucede. “No tenemos tiempo para verlos a todos”, dijo uno.
Cuatro fuentes dijeron que han visto unidades flash sin marcar, «sin boleto» conectadas a los servidores.
Los empleados describieron varios sistemas de mantenimiento de registros utilizados por la empresa para rastrear el servidor y otras reparaciones de hardware realizadas en los centros, incluidas cinco herramientas internas independientes de emisión de boletos. Todos los empleados dijeron que también recibieron solicitudes de trabajo a través del software para el lugar de trabajo de ByteDance, Lark.
Sin embargo, tres fuentes dijeron Forbes que estaban al tanto de las modificaciones realizadas en los servidores que no se reflejaban en ningún sistema de emisión de boletos, y cuatro dijeron que habían visto unidades de memoria flash sin marcar, «sin boletos» conectadas a los servidores. TikTok dijo que estas afirmaciones eran inconsistentes con el monitoreo de seguridad interna de la compañía.
Cuatro fuentes también dijeron que los desmagnetizadores de la compañía (máquinas que se usan para limpiar y destruir discos duros viejos) a menudo se rompían o atascaban, lo que requería que el personal llevara los discos a otros centros de datos para desecharlos. Una persona que había sido colocada en esta posición dijo: “Cualquiera con intenciones maliciosas podría haberlos tomado, y no nos habríamos enterado”. (TikTok reconoció haber tenido este problema en el pasado, pero dijo que ya se ha solucionado).
Las fotos proporcionadas por una fuente, que dijo que fueron tomadas en 2020, muestran discos duros desatendidos en cajas abiertas en los pasillos de un centro de datos de Virginia. Los detalles de las fotos, incluidas las puertas, las baldosas del suelo, las baldosas del techo, la pintura de las paredes y los bastidores del servidor, coinciden con las fotos y los videos proporcionados por una segunda fuente no relacionada.
En respuesta a las descripciones de estos discos, Shanahan dijo: “Durante la construcción, antes de que se entreguen las operaciones, no sería raro ver elementos como palés de madera o cajas de cartón desatendidos con discos duros nuevos que no contienen datos. Nuestra política de manejo de medios requiere que los medios usados en espera de destrucción se coloquen en contenedores cerrados».
La inversión inadecuada en la seguridad del centro de datos es un problema de toda la industria, según Sanjukta Das Smith, presidente de Ciencias y Sistemas de Gestión de la Escuela de Administración de la Universidad de Buffalo y experto en recursos del centro de datos. En una entrevista, dijo: “Muchas veces, la seguridad tiende a pasar a un segundo plano, porque en la mayoría de las interacciones cara al cliente, el enfoque está más en la experiencia del cliente: qué tan rápido se cargan las cosas en sus dispositivos y cuál es la estética. ¿de eso?»
A pesar de estos desafíos sistémicos, las prácticas descritas por los empleados de TikTok a veces se apartaron de las normas de la industria descritas por Smith. Por ejemplo, en los centros de datos que ha visitado, dijo Smith, “incluso si tiene autorización previa, una vez que pasa por el check-in, entonces no es como si alguien estuviera libre para deambular. Es una experiencia acompañada.” Pero aparentemente este no es el caso en los centros de TikTok, donde una fuente dijo: “Realmente nunca supimos cuándo iban a aparecer estas personas, simplemente aparecieron con un boleto y pidieron que se les cortara el acceso, y alguien les cortaría el acceso. y entraban y hacían lo que hacían y luego se iban”.
Smith dijo que nunca ha visto unidades USB utilizadas en centros de datos, pero que generarían preocupaciones adicionales, dado lo fácil que es instalar software malicioso en ellas.
Bruce Schneier, miembro del Centro Berkman Klein para Internet y Tecnología de Harvard y profesor de la Escuela Kennedy de Harvard, advirtió contra la lectura demasiado profunda de cualquier suceso sin explicación. Haciendo una analogía con las afirmaciones sobre el fraude electoral, dijo, «es fácil encontrar cosas que parecen sospechosas, pero es un poco como decir que encontramos cajas de votos que no entendemos».
Al igual que Smith, Schneier señaló que los problemas de seguridad afectan a toda la industria. Mencionó a Twitter, que dijo que había tenido problemas con la seguridad debido a sus esfuerzos por crecer tan rápidamente. En cuanto a TikTok, dijo: “Estoy seguro de que hay negligencia. Como cualquier gran empresa de tecnología, se preocupan por las ganancias y la seguridad es costosa”.
Seguridad en la construcción, riesgos de incendio y criptominería
Forbes reportando también descubrió otros problemas con los centros de datos de Virginia. Las fuentes expresaron su preocupación sobre la seguridad de los edificios: tres describieron que ocasionalmente se les pedía que trabajaran en edificios que aún estaban en construcción y dijeron que en algunos edificios, las alarmas de las puertas se disparan con tanta frecuencia que no tienen sentido. (TikTok dijo que las alarmas de las puertas se investigan según sea necesario).
Las fotos y videos del interior de los centros de datos también mostraban tarimas de madera y cajas de cartón dejadas por los mensajeros de entrega en las salas de servidores, un peligro de incendio cuando se combina con el sobrecalentamiento ocasional del servidor. Las grabaciones de audio de las reuniones internas de TikTok señalan que el calor en estos centros de datos ha sido un problema antes: en una reunión de septiembre de 2021, se puede escuchar a un director de Confianza y Seguridad describiendo una instancia en la que los servidores de Virginia se sobrecalentaron y los datos de los usuarios de EE. UU. se enrutaron a los servidores. en Singapur hasta que se solucione el problema.
«A ByteDance simplemente no le importaba una mierda».
Seis fuentes también dijeron de forma independiente Forbes habían oído hablar de empleados que usaban los servidores para extraer criptomonedas. TikTok dijo que esto sería una violación de sus políticas y que cuenta con “controles de seguridad para identificar y prevenir este tipo de comportamiento”.
Smith, el profesor de administración, enfatizó lo difícil que puede ser mantener seguro un centro de datos masivo. “El volumen de interacciones con el que estaría lidiando una aplicación como TikTok, millones de interacciones, la gran mayoría de las cuales son benignas, es un problema con el que están lidiando con una aguja en un pajar”. También señaló que los centros de datos a menudo no revelan todas las protecciones que tienen, porque hacerlo les daría a los piratas informáticos una hoja de ruta para superarlas.
Aún así, seis de los empleados dijeron que la seguridad en los centros de datos de TikTok era más débil que la seguridad en otros centros de datos donde habían trabajado.
«A ByteDance simplemente no le importaba una mierda», dijo una fuente, señalando que la empresa a menudo sacrificaba los estándares de seguridad para que los servidores funcionaran más rápidamente. “Simplemente avanzaban tan rápido como les era posible”.
Esta historia se ha actualizado con comentarios adicionales de TikTok.